加固Tomcat

在FusionInsight Manager軟件安裝及使用過程中，針對Tomcat基于開源做了如下功能增強：

• 升級Tomcat版本為官方穩定版本。
• 設置應用程序webapplications之下的目錄權限為500，對webapplications之下的部分目錄支持寫權限。
• 系統軟件安裝完成后自動清除Tomcat安裝包。
• webapplications下針對工程禁用自動部署功能，只部署了web、cas和client-registry三個工程。
• 禁用部分未使用的http方法，防止被他人利用攻擊。
• 更改Tomcat服務器默認shutdown端口號和命令，避免被黑客捕獲利用關閉服務器，降低對服務器和應用的威脅。
• 出于安全考慮，更改“maxHttpHeaderSize”的取值，給服務器管理員更大的可控性，以控制客戶端不正常的請求行為。
• 安裝Tomcat后，修改Tomcat版本描述文件。
• 為了避免暴露Tomcat自身的信息，更改Connector的Server屬性值，使攻擊者不易獲知服務器的相關信息。
• 控制Tomcat自身配置文件、可執行文件、日志目錄、臨時目錄等文件和目錄的權限。
• 關閉會話facade回收重用功能，避免請求泄漏風險。
• CookieProcessor使用LegacyCookieProcessor，避免cookie中的敏感數據泄漏。

加固LDAP

在安裝完集群后，針對LDAP做了如下功能增強：

• LDAP配置文件中管理員密碼使用SHA加密，當升級openldap版本為2.4.39或更高時，主備LDAP節點服務自動采用SASL External機制進行數據同步，避免密碼信息被非法獲取。
• 集群中的LDAP服務默認支持SSLv3協議，可安全使用。當升級openldap版本為2.4.39或更高時，LDAP將自動使用TLS1.0以上的協議通訊，避免未知的安全風險。

加固JDK

• 如果客戶端程序使用了AES256加密算法，則需要對JDK進行安全加固，具體操作如下：

獲取與JDK版本對應的JCE（Java Cryptography Extension）文件。JCE文件解壓后包含“local_policy.jar”和“US_export_policy.jar”。拷貝此jar包到如下路徑并替換文件：

? Linux：“JDK安裝目錄/jre/lib/security”

? Windows：“JDK安裝目錄\jre\lib\security”

                
說明
                
請訪問Open JDK開源社區獲取JCE文件。
如果客戶端程序需要支持SM4加密算法，則需要更新jar包：
              

在“客戶端安裝目錄/JDK/jdk/jre/lib/ext/”目錄下獲取“SMS4JA.jar”，并拷貝到如下目錄：

? Linux：“JDK安裝目錄/jre/lib/ext/”

? Windows：“JDK安裝目錄\jre\lib\ext\”